Hack de Bluetooth compromete Teslas, fechaduras digitais e muito mais

Um grupo de pesquisadores de segurança encontrou uma maneira de contornar bloqueios digitais e outros sistemas de segurança que dependem da proximidade de um fob ou smartphone Bluetooth para autenticação.

Usando o que é conhecido como "ataque de retransmissão de camada de link", a empresa de consultoria de segurança NCC Group conseguiu desbloquear, iniciar e dirigir veículos e desbloquear e abrir certas fechaduras inteligentes residenciais sem a chave baseada em Bluetooth em qualquer lugar nas proximidades.

Sultan Qasim Khan, principal consultor de segurança e pesquisador do NCC Group, demonstrou o ataque a um Tesla Model 3 , embora observe que o problema não é específico da Tesla. Qualquer veículo que use Bluetooth Low Energy (BLE) para seu sistema de entrada sem chave estaria vulnerável a esse ataque.

Muitas fechaduras inteligentes também são vulneráveis, acrescenta Khan. Sua empresa chamou especificamente os modelos Kwikset / Weiser Kevo , pois eles usam um recurso de toque para abrir que depende da detecção passiva de um fob Bluetooth ou smartphone próximo. Como o proprietário da fechadura não precisa interagir com o dispositivo Bluetooth para confirmar que deseja destrancar a porta, um hacker pode transmitir as credenciais Bluetooth da chave de um local remoto e abrir a porta de alguém, mesmo que o proprietário esteja a milhares de quilômetros de distância.

Como funciona

Essa exploração ainda exige que o invasor tenha acesso ao dispositivo Bluetooth ou chaveiro real do proprietário. No entanto, o que o torna potencialmente perigoso é que a chave Bluetooth real não precisa estar perto do veículo, fechadura ou outros dispositivos protegidos.

Em vez disso, os sinais Bluetooth são retransmitidos entre a fechadura e a chave por meio de um par de dispositivos Bluetooth intermediários conectados usando outro método – normalmente por meio de um link de Internet regular. O resultado é que o bloqueio trata o dispositivo Bluetooth próximo do hacker como se fosse a chave válida.

Como Khan explica, “podemos convencer um dispositivo Bluetooth de que estamos perto dele – mesmo a centenas de quilômetros de distância […] ”

A exploração ignora as proteções usuais de ataque de retransmissão, pois funciona em um nível muito baixo da pilha Bluetooth, portanto, não importa se os dados são criptografados e quase não adiciona latência à conexão. O bloqueio de destino não tem como saber que não está se comunicando com o dispositivo Bluetooth legítimo.

Como muitas chaves de segurança Bluetooth operam passivamente, um ladrão precisaria apenas colocar um dispositivo a poucos metros do proprietário e o outro próximo à trava de destino. Por exemplo, um par de ladrões poderia trabalhar em conjunto para seguir um proprietário de Tesla para longe de seu veículo, retransmitindo os sinais Bluetooth de volta ao carro para que ele pudesse ser roubado assim que o proprietário estivesse longe o suficiente.

Esses ataques podem ser realizados mesmo em grandes distâncias com coordenação suficiente. Uma pessoa de férias em Londres pode ter suas chaves Bluetooth retransmitidas para as fechaduras das portas em casa em Los Angeles, permitindo que um ladrão obtenha acesso rapidamente simplesmente tocando na fechadura.

Isso também vai além de carros e fechaduras inteligentes. Os pesquisadores observam que ele pode ser usado para desbloquear laptops que dependem da detecção de proximidade Bluetooth, impedir o bloqueio de telefones celulares, contornar sistemas de controle de acesso de edifícios e até falsificar a localização de um ativo ou paciente médico.

O NCC Group também acrescenta que este não é um bug tradicional que pode ser corrigido com um simples patch de software. Não é nem mesmo uma falha na especificação do Bluetooth. Em vez disso, é uma questão de usar a ferramenta errada para o trabalho. O Bluetooth nunca foi projetado para autenticação de proximidade – pelo menos não “para uso em sistemas críticos, como mecanismos de travamento”, observa a empresa.

Como se proteger

Primeiro, é essencial ter em mente que essa vulnerabilidade é específica para sistemas que dependem exclusivamente da detecção passiva de um dispositivo Bluetooth.

Por exemplo, essa exploração não pode ser usada de forma realista para contornar sistemas de segurança que exigem que você desbloqueie seu smartphone, abra um aplicativo específico ou execute alguma outra ação, como apertar um botão em um chaveiro. Nesse caso, não há sinal Bluetooth para retransmitir até que você execute essa ação – e geralmente você não tentará destravar seu carro, porta ou laptop quando não estiver perto dele.

Isso também não costuma ser um problema para aplicativos que realizam etapas para confirmar sua localização. Por exemplo, o recurso de desbloqueio automático no popular bloqueio inteligente de agosto depende da detecção de proximidade do Bluetooth, mas o aplicativo também verifica sua localização GPS para garantir que você esteja realmente voltando para casa. Ele não pode ser usado para destrancar a porta quando você já está em casa, nem pode abrir a porta quando você está a quilômetros de distância.

Se o seu sistema de segurança permitir, você deve habilitar uma etapa extra de autenticação que exige que você execute alguma ação antes que as credenciais do Bluetooth sejam enviadas para o seu cadeado. Por exemplo, a Kwikset disse que os clientes que usam um iPhone podem ativar a autenticação de dois fatores em seu aplicativo de bloqueio e planeja adicioná-lo ao seu aplicativo Android em breve. O aplicativo Kevo da Kwikset também desativa a funcionalidade de desbloqueio de proximidade quando o telefone do usuário fica parado por um longo período.

Observe que as soluções de desbloqueio que usam uma combinação de Bluetooth e outros protocolos não são vulneráveis ​​a esse ataque. Um exemplo típico disso é o recurso da Apple que permite que as pessoas desbloqueiem o Mac com o Apple Watch . Embora isso use o Bluetooth para detectar o Apple Watch nas proximidades inicialmente, ele mede a proximidade real pelo Wi-Fi – mitigação que os executivos da Apple disseram especificamente ter sido adicionada para evitar ataques de retransmissão Bluetooth .

O NCC Group publicou um comunicado técnico sobre a vulnerabilidade do Bluetooth Low Energy e boletins separados sobre como isso afeta os veículos Tesla e as fechaduras Kwikset/Weiser .